數據中心災備體系設計主要由三部分組成：災備需求分析、災備技術體系設計與災備管理制度設計。災備需求分析是根據數據中心 的業務特點與系統特點，分析存在的風險；災備技術體系設計則是為達到災備需求的舊標而進行的具體技術實現；災備管理制度設計則是為確保災備系統規范運作而 設立的管理制度。由于《規范》中對災備管理制度的設計已經提出了比較明確的設計方法與要求，本文將不再贅述，而將重點放在介紹災備需求分析與災備技術體系 設計方面，為相關工作的具體實施提供參考。

    一、區域數據中心災備需求分析

    (一)風險分析

    全面詳盡的風險分析是數據中心災備體系設計的基礎，風險分析方法包括：

    1． 資產識別，主要包括：基礎設施、硬件、軟件、數據、文檔、服務和聲譽等。單位應對資產進行分類，以區分資產的不同重要程度并 確定重要資產的范圍，應X對資產進行標識以區分資產對業務正常運作的影響程度，據此確定資產的等級。

    2．威脅識別，即識別信息資產構成潛在破壞的可能性因素，如自然因素與人為因素，內部因素與外部因素等。

    3．脆弱性識別，即識別可能被威脅利用的信息資產的弱點，主要包括技術與管理兩個方面。技術脆弱 性涉及物理層、網絡層、系統層、應用層等各個層面的安全問題；管理脆弱性可分為技術管理脆弱性和組織管理脆弱性兩方面，前者與具體技術活動相關，后者與管 理環境相關。

    具體分析活動可通過問卷調查、工具檢測、人工核查、文檔查閱和滲透性測試等方式開展。完成風險分析后，需要根據災難發生的可能性、災難發生后的損失預計等 因素，計算對應的風險值，進行風險分級，為后續分析工作提供參考。

    (二)業務影響分析

    1．定義

    業務影響分析(Business Impact Analysis，BIA)的目的是確定不同業務遭遇到風險后對企業的影響程度。通過分析有形的和無形的影響，估算對停止業務時間長短的接受情況和使影響 降至最低的處理需求，對災備的其體實現提出明確要求。BIA的目標包括：(1)識別和量化每個業務單元或者資源對整個企業在業務運行方面的影響；(2)． 識別潛在的失效場景和評估潛在的威脅；(3)定義針對不同的災難恢復要求所需要的不同級別的投資情況；(4)建立災難恢復時的恢復流程優先級，指導災難備 份恢復策略的制訂。

    2．BIA業務影響分析的方法

    (1) 業務功能地位分析。可從業務功能的政策要求、是否核心業務、業務涉及的機構與用戶范圍、業務處理實時性與頻度、業務功能與機 構內外其他業務功能的關聯等多個角度綜合分析。

    (2)業務中斷影響評估。主 要包括兩個方面，一是以量化的方法，評估業務中斷可能帶來的直接與間接經濟損失；二是以非量化的方法，評估業務中斷所引發的社會影響、法律影響、信用影 響、品牌影響等。

    業務影響分析最終將影響對災難備份體系的需求，根據《規范》的要求，災備體系的需求必須明確需求等級、各等級對應的最低恢復要求以及恢復的優先級。主要指 標是RTO(Recover Time 0bjec—rive)，即災難發生后，信息系統從停頓到恢復正常的時間要求，以及RPO(Recover Point 0hieetive)，即災難發生后，數據必須恢復到正常狀態的時間要求。災難恢復能力等級與上述兩項指標的參照要求如表1所示。

    表1災難恢復能力等級及RTO、RPO指標要求

 

    (三)基 礎架構分析

    數據中心技術體系分析是災備技術體系建設的基礎，災備技術體系與數據技術體系匹配程度的高低，決定了災備中心對數據中心生產環境的可替代程度，對于高效實 現災難恢復，提高災備中心可用性有重要意義。對數據中心技術體系的分析主要從以下兩方面人手。

    1．基礎運 行環境分析。在確保災備中心與數據中心技術架構基本一致的前提下，明確所需要的設備類型和數量，對機房配電、空調、地板承重 以及布線的具體要求等基礎環境信息，為選擇具體的災備環境提供參考。

    2．應用部署特點分析。主 要分析各類應用部署平臺的情況、應用之間的數據依賴關系、應用正常運行需要數據質量、應用正常啟動和異常啟動需要的時間等關鍵因素，作為災備中心應用體系 構建的基礎。

二、區域數據中心災備技術體系設計

    (一)災備模式的基本體系架構

    災備模式主要有“同城災備”、“異地災備”以及“同城一異地災備”三種主要方式。同城災備，是指災備中心與生產中心處于同一城市內，可同時采用同步備份與 異步備份技術。其具有最低的投資成本，最快的災難恢復速度，極高的數據保障，但無法應對區域性的災難風險。異地災備，是指災備中心與生產中心在不同的城 市，一般只能實現異步備份。其投資成本較高，災難恢復速度與數據保障能力略低，但可應付廣泛的災難風險。同城一異地災備則是兩者的結合，投資成本最高，但 同時具有前兩者優點。同城一異地模式也分兩種實現方式，一種是首先建立同城災備中心，然后異地災備中心實現對同城災備中心的備份；一種是同城災備中心與異 地災備中心分別獨立為數據中心實施備份。

    具體選擇何種災備模式，需要綜合考慮所面I臨的風險特點、業務特點、成本投入等多種因素。由于數據中心面臨的重大風險絕大多數都發生在數據中心范圍內，而 同城災備中心在業務迅速恢復方面具有比較突出的優勢，因此同城災備中心的建設一般是必須的。災備模式的選擇建議如下。

    1．全國性數據中心采用同城一異地災備模式。由于其業務系統與數據的影響面廣，由此必須采用最為可靠的災備模式。

    2．建立總中心一區域兩級數據中心的機構，在區域數據中心建立同城災備，并通過數據總中心的異地災備中心，實現對各區域數據中心的集中式異地災備。當區域 數據中心出現嚴重故障時，可通過同城災備中心實現對全省業務的迅速接管，而出現區域性重大災難時，可通過數據總中心的異地災備中心實現區域業務的恢復。這 一模式既減少了區域自建異地災備中心所需的龐大投資，又能提供全面的災備保護。

    (二)災備中心基礎環境建設

    災備中心基礎設施建設應重點考慮以下因素：

    1．選址。災難備份中心與生產中 心之間距離合理，應避免災難備份中心與生產中心同時遭受同類風險。綜合考慮生產中心與災難備份中心交通和電訊的便利性與多樣性，以及災難備份中心當地的業 務與技術支持能力、電訊資源、地理地質環境、公共資源與服務配套能力等外部支持條件。

    2。基礎條件。機 房環境要求與主中心相同，各項建筑基礎環境(如防雷、防火、防靜電、承重、分區隔離等)、供配電環境、溫濕度空調環境、消防和監控安全環境等，都應參照生 產數據中心機房環境設計，至少達到生產數據中心機房環境所屬等級要求。考慮到災備恢復情況下額外的外部技術支援，災備中心在工作人員容納方面應作適當考 慮，以保證有足夠空間容納一定數量的技術人員集中協同辦公。

    3．建設方式。災 備中心的建設方式可采用自建、共建與外包建設等方式，三種方式各有優勢，需要結合各類機構的實際情況加以選擇。自建是指金融機構獨立建設區域數據中心，此 模式具有較高的可靠性與安全性，但投入龐大，適用于大型金融機構。共建是指數家金融機構共同規劃投資，建設參與各方共同使用的區域災備中心。共建模式減少 了各方的投資壓力，但需要各方充分協調，有效實現災備中心的建設管理，參與機構不宜過多，適用于中型金融機構。托管是指將區域災備中心由專業的災備服務商 建設管理，金融機構向其租用災備物理環境，實現數據與系統的區域災備體系建設，此模式充分利用了災備服務專業化的優勢，在最大限度減少建設投資的同時，為 信息系統提供可靠保護，適用于中小型金融機構。

表2數據備份復制主要方式之比較

 

    (三)網 絡備份體系設計

    數據中心與災備中心應建立網絡熱備份體系，當數據生產中心無法正常工作時，業務數據流可自動切換到災備中心，保證災備中心的備份業務系統順利接管業務數 據。目前網絡熱備份技術已經比較成熟，可利用多種動態路由協議(如OSPF，BGP等)實現。網絡備份設計參考要點如下。

    1．建立核心網絡熱備體系。數據中心是面向某個區域的龐大數據處理節點，必須在核心網絡層面(如廣域網、核心服務器運行的 局域網)實現熱備，才能保證災備中心對區域內通信的可靠性。同時，前述災備中心的選址要求，決定了數據中心與災備中心之間必須建立廣域網互聯，因此在廣域 網層面實現線路熱備顯得尤為必要。

    2．災備中心網絡容量設計。災備中心網絡 容量應與生產中心網絡容量基本一致，網絡應采用一致的技術標準。災備中心與數據中心同步傳輸的鏈路，其帶寬必須大于數據中心的峰值數據變化量。因此，同城 災備網絡，應災備中心與生產中心之間應建立光纖網絡。

    3．災備網絡應與數據中心網絡采用不同運營商物理線路。《規范》明確要求，災備中心對外的通信線路應采用與數據中心不同的運 營商，降低風險關聯。而數據中心與災備中心之間同樣需要建立兩條不同運營商通信線路，以捆綁技術建立兩地路由器互聯，從而提高兩地之間通信的可靠性，確保 熱備功能的有效性。

    4．盡量建立數據中心網絡與災備中心網絡的負載均衡，有利于提高災備網絡利用率與提高 災備網絡可用性。災備中心網絡基本是數據中心網絡的復制，目前網絡熱備份技術主要有兩種模式。一種是主-備模式，數據流正常 情況下使用數據中心生產網絡，當數據中心生產網絡出現故障時，才使用災備中心網絡。這一模式實現簡單，但災備網絡13常實際并不使用，既造成資源浪費，也 不利于提高災備網絡的可用性。另一種是負載均衡模式，正常情況下數據流同時使用兩個中心的網絡，生產中心網絡出現故障時，則全部數據流向災備網絡。后者的 實現技術比較復雜，需要專用負載均衡設備支持，但可以充分利用網絡資源，也可以在日常使用中驗證災備網絡的可用性，建議盡可能采用此模式。

(四)數據 環境備份設計

    1．備份介質

    目前主流的備份介質包括磁帶庫、虛擬帶庫與磁盤陣列。虛擬帶庫是將低性能磁盤組模擬成磁帶方式進行讀寫存儲的備份介質，它既保留了磁帶順序寫入在數據備份 過程中特有的高性能，又可避免磁帶受外環境破壞、不宜多次讀寫的缺點，有利于數據保存與對備份數據的恢復驗證。但虛擬帶庫與磁帶庫同樣存在讀取效率低的缺 陷，只適用于數量龐大而RTO要求較低(恢復能力等級為3以下)的數據備份環境。磁盤陣列則是以普通硬盤讀寫的方式，對數據進行備份的備份介質。磁盤陣列 一般由具備高性能磁盤所組成，并通過高容量緩存與I／O負載均衡技術提高數據讀寫效率，適用于RTO性能要求較高(恢復能力等級為3以上)的數據備份環 境。

    2．備份傳輸

    (1)數據備份傳輸的技術選擇

    數據備份復制方式主要有快照技術、異步復制、同步復制(如表2所示)。數據復制方式的選擇主要取決于災備需求分析中業務系統對RPO的要求。

    (2)數據備份傳輸的實現

    目前金融機構數據中心普遍建立了集中存儲系統，因此存在存儲傳輸網絡與業務傳輸網絡兩套專用網絡，從而派生出數據備份傳輸技術的三種實現方案——主機代理 模式、存儲陣列模式與代理模式。三種模式的選擇主要取決于災備恢復需求與可用于災備建設的資源投入。從目前情況看，CDP方式是適用面較廣的數據備份傳輸 實現方式。比較情況如表3所示。

    表3數據備份傳輸三種模式之比較

 

    (五)應 用環境備份設計

    應用環境備份的目的是確保災備中心能夠快速重建數據中心應用系統環境，并實現備份業務系統對生產系統有效替代。對應用環境備份的設計要點包括：

    1．通過配置同步技術，實現數據中心應用環境的一致性。災備中心的應用環境在技術路線、設備部署 方面應盡量保證與數據中心應用環境一致。這樣有利于提高災備應用環境與生產應用環境之間手工切換的效率，也有利于日常檢驗災備應用環境的可用性。一般可通 過災備應用環境定期向生產應用環境讀取配置文件、參數等方式，實現兩者配置的同步。

    2．災備中心關鍵型業 務系統實現集群間自動切換，其余業務系統則采用手工切換模式。數據中心應用服務器一般通過HA等技術建立高可用性集群，保證 本地應用服務的高可靠性。同樣，只要建立數據中心與災備中心之間的高可用性網絡監控技術，災備中心備份應用服務器集群可實現與數據中心生產服務器集群之間 的高可用性自動切換。為節約成本投入，建議對關鍵性業務系統采用此方式，以滿足RTO一小時以內的災備恢復需求。對于其余業務系統，只要如前所述，保證應 用環境一致性，通過手工方式進行切換即可。

    3．采用虛擬化技術對備份環境進行整合。災 備中心應用環境備份資源畢竟有限，充分利用備份應用資源對數據中心應用環境保護十分重要。虛擬化技術可實現一臺物理應用服務器對多臺邏輯服務器的虛擬。這 樣在數據中心里，大量性能要求不苛刻、RTO要求在數小時以上的應用系統災備環境就可以集中部署在少數的硬件服務器資源中，有利于災備中心盡可能提高對數 據中心應用系統的災備范圍。